Cover Image

La violazione del fornitore software di fatturazione sanitaria interessa 275.000 utenti

15 Luglio 2020 - Tempo di lettura: 15 minuti

Circa 275.000 persone servite da una varietà di fornitori di assistenza sanitaria e piani sanitari avevano dati esposti a seguito di una violazione del fornitore di fatturazione e recupero crediti con sede a Houston Benefit Recovery Specialists Inc.

L'incidente del BRSI sembra essere in qualche modo simile a una violazione circa un anno fa che ha colpito un'altra società di recupero crediti medica, American Medical Collection AgencyL'incidente ha colpito oltre due dozzine di clienti dell'azienda e oltre 20 milioni di persone, secondo il sito web di HHS.

"Ciò che è inquietante è che stiamo iniziando a vedere una tendenza nei servizi di recupero crediti medici che potrebbe riflettere inadeguate garanzie di sicurezza informatica nel settore", afferma l'avvocato sulla privacy David Holtzman, direttore della società di consulenza HITprivacy LLC.

Holtzman suggerisce che le organizzazioni sanitarie riesaminino attentamente se sono clienti BRSI. "Potrebbe non essere immediatamente evidente perché molte unità aziendali contrattano o intrattengono rapporti con fornitori di servizi che potrebbero non essere del tutto noti in tutta l'organizzazione", sottolinea.

Le organizzazioni che sono clienti BRSI dovranno "avviare il loro piano di risposta agli incidenti, che includerà un inventario dei pazienti il ​​cui PHI è stato gestito dal fornitore per loro conto. Questi passaggi dovrebbero iniziare ora", sottolinea.

Aggiunto al conteggio

La violazione BRSI è stata aggiunta lunedì al sito Web dello strumento di segnalazione delle violazioni dell'HIPAA del Dipartimento della sanità e dei servizi umani .

Chiamato anche comunemente "muro della vergogna", il sito web elenca le violazioni dei dati sulla salute che colpiscono 500 o più persone.

L'incidente è la quinta violazione tra i primi 10 aggiunti al conteggio finora quest'anno.

Dettagli dell'offerta di notifica

In una dichiarazione di notifica di violazione del 26 giugno pubblicata sul sito Web di BRSI, la società afferma che il 30 aprile ha scoperto un incidente di malware che colpisce alcuni sistemi aziendali.

"Abbiamo immediatamente avviato un'indagine interna e messo offline i sistemi interessati per rimuovere il malware e garantire la sicurezza dell'ambiente BRSI", afferma la nota. "Abbiamo anche iniziato a lavorare con specialisti della sicurezza informatica di terze parti per determinare la portata e la natura dell'evento e notificato le forze dell'ordine federali".

L'indagine ha confermato che un attore non autorizzato ha avuto accesso ai sistemi di BRSI utilizzando le credenziali dei dipendenti e ha distribuito malware nell'ambiente di BRSI, afferma la dichiarazione.

"L'indagine ha inoltre rivelato che alcuni file dei clienti BRSI contenenti informazioni personali potrebbero essere stati accessibili e / o acquisiti dall'attore sconosciuto tra il 20 aprile e il 30 aprile 2020", secondo la dichiarazione.

Le informazioni che potrebbero essere state esposte includono nome, data di nascita, data di servizio, nome del fornitore, numero di identificazione della polizza, codice di procedura e / o codice di diagnosi, afferma BRSI. Per un numero limitato di persone, il numero di previdenza sociale potrebbe anche essere stato esposto nella dichiarazione.

"I tipi di incidenti che coinvolgono i fornitori che forniscono servizi di recupero crediti a un'ampia fascia di importanti organizzazioni sanitarie sono davvero gli incidenti più spaventosi a causa dell'ampiezza e dell'enorme volume di dati che potrebbero essere gestiti".
—David Holtzman, HITprivacy LLC

"Dopo aver appreso dell'incidente, abbiamo iniziato a lavorare con specialisti di terze parti per valutare e sviluppare un piano di risposta e proteggere l'ambiente BRSI", afferma la società.

BRSI non ha risposto immediatamente alla richiesta del gruppo Media di Information Security per ulteriori dettagli, incluso il numero di organizzazioni client colpite dalla violazione e se il malware fosse un ransomware .

Gestione dei rischi di terze parti

La violazione del BRSI, e la violazione analoga dell'AMCA dell'anno scorso, "dovrebbero motivare le organizzazioni sanitarie ad agire prontamente per proteggersi dalle ricadute, iniziando a sostenere le relazioni con i fornitori", afferma Holtzman.

"I tipi di incidenti che coinvolgono i fornitori che forniscono servizi di recupero crediti a un'ampia fascia di importanti organizzazioni sanitarie sono davvero gli incidenti più spaventosi a causa dell'ampiezza e dell'enorme volume di dati che potrebbero essere gestiti", osserva.

"Dovremmo cogliere questa opportunità per prepararci all'eventualità che uno dei nostri fornitori subisca un incidente di sicurezza informatica. E ci sono dei passi che dovremmo prendere per essere in grado di rispondere e recuperare da un incidente che influisce sui dati che hanno creare o mantenere per nostro conto".

Attacco di phishing?

La descrizione dell'incidente fornita da BRSI nella sua dichiarazione di notifica della violazione - inclusa la società che menziona che l'autore ha usato le credenziali dei dipendenti - indica la possibilità che il sistema informativo di BRSI possa essere stato compromesso da un attacco di phishing, afferma Holtzman.

"È fondamentale che le organizzazioni educhino e rendano i loro membri della forza lavoro consapevoli di come riconoscere e rispondere a e-mail sospette e di riconoscere quando una comunicazione specifica è troppo rischiosa per essere aperta", afferma. "Le organizzazioni devono disporre della tecnologia necessaria per un audit e una revisione delle attività del sistema nella loro area del sistema di informazione."

Monitoraggio dei partners commerciali

L'incidente del BRSI mette in luce, ancora una volta, i rischi per la privacy e la sicurezza posti dai soci in affari.

"Ciò dovrebbe evidenziare la necessità di andare oltre la semplice firma da parte delle BA di un accordo BA, quindi di non fare alcun tipo di supervisione o follow-up regolare per assicurarsi di aver effettivamente implementato azioni, processi, procedure e strumenti necessari per soddisfare ciò che la BAA ha richiesto loro di farlo", afferma Rebecca Herold, presidente di Simbus, una società di servizi per la privacy e la sicurezza del cloud e CEO della consulenza di The Privacy Professor.

"Quando un BA, o qualsiasi fornitore di servizi B-to-B in qualsiasi settore, non fa effettivamente ciò che si è obbligato contrattualmente a fare, allora diventerà un'enorme vulnerabilità di sicurezza. E poi violazioni e altri tipi di incidenti di sicurezza si verificherà."

Herold sottolinea inoltre che HHS "ha affermato molte volte in molti modi negli ultimi due decenni che le entità coperte devono intraprendere azioni" e ottenere ragionevoli garanzie "che le BA in realtà stanno perseguendo quei requisiti [di sicurezza] nel corso delle loro operazioni commerciali".

intopic.it